Исследователи из университета Карнеги-Меллона и Intel изучили аппаратный дефект в большом количестве модулей памяти DDR3. Те непроизвольно меняют значение битов в соседних рядах при колебании напряжения в определённой линии управления. То есть можно изменить значение ячейки памяти без прямого доступа к ней.
Глюк легко вызывается программным путём. Достаточно задать только две операции считывания данных из памяти с особым относительным смещением и некоторыми инструкциями для контроля кэша — и запустить небольшой цикл.
На иллюстрации показаны примеры кода. Код слева вызывает ошибку, код справа — не вызывает.
Ошибки удалось вызвать в 110 из 129 модулей памяти от трёх ведущих производителей DRAM. Устойчивы к дефекту многие старые модули, произведённые до 2012 года. Среди новых модулей (2012-2013 гг) ошибки присутствуют почти в 100% экземпляров.
Исследователи описывают только технические аспекты бага. Они не вдаются в детали, как использовать уязвимость на практике. Но очевидно, что такой баг должен привлечь внимание специалистов по безопасности. Например, раньше уже обсуждалась теоретическая возможность атаки на песочницу JVM с помощью случайной замены битов в оперативной памяти.
Вероятно, даже простой запуск такой программы на компьютере приравнивается к DoS-атаке, поскольку замена битов в оперативной памяти наверняка вызовет системные ошибки.
Трудно предположить, что такого рода «уязвимости» были внедрены в аппаратуру умышленно. Очень похоже на ток утечки между соседними электродами. Это известная проблема в электронике, тем более при современном уровне миниатюризации. Банальный технический дефект.
В то же время, случайность появления бага вовсе не отменяет возможности его эксплуатации.
На сайте The Linux Homefront Project опубликован список кандидатов на звание «человека года» в сообществе Linux, а также стартовало открытое голосование, которое завершится 1 января 2015 года в 00:00 UTC.
На эту минуту проголосовало 678 человек, и пока с небольшим отрывом лидирует Маисса Ропонен, разработчик ядра Linux возрастом 4 года.
Интересный «хак» для Skype нашёл один из пользователей форумов Reddit. Пользуясь только штатными средствами, можно установить связь с вызываемым абонентом незаметно для него.
Оказывается, в клиенте Skype есть такая функция как автоматический перезвон при обрыве связи. На этом и основан весь фокус.
Злоумышленник берёт два устройства и входит в свою учётную запись с обоих.
Злоумышленник звонит жертве с одного из устройств (из Android-клиента).
Злоумышленник обрывает связь в момент установки соединения.
После этого Skype на устройстве жертвы автоматически перезванивает пользователю, который пытался дозвониться. Злоумышленнику достаточно «снять трубку» на втором своём устройстве.
Как видишь, для установки соединения совершенно не требуется участие жертвы. Конечно, в это время она может смотреть на экран и заметить происходящее. Она может услышать сигнал вызова, увидеть установившееся соединение и разорвать связь. Тем не менее, сохраняется теоретическая возможность незаметной прослушки.
Кроме прослушки, таким же способом активируется и видеосвязь (через видеозвонок), так что можно следить за жертвой в видеорежиме. Правда, говорят, что «хак» не очень надёжный и срабатывает через раз.
Пользователи Reddit подтвердили наличие проблемы на мобильных телефонах разных марок, в том числе Nexus 5 и Samsung Galaxy S4, а также в клиенте Skype на персональном компьютере.
Вероятно, уязвимость устранят в ближайшем обновлении Skype.
Компьютерная программа Random Darknet Shopper уже три месяца занимается сомнительными делишками в даркнете. Имея «в кармане» несколько биткоинов, она делает случайные покупки в магазинах. Авторы программы — творческие личности — понятия не имеют, что именно купит «искусственный интеллект» на этой неделе. Вопрос только в том: кто несёт ответственность, если случайный выбор робота-покупателя падёт на запрещённый к продаже (и употреблению) товар?
Примерно такие дилеммы обсуждают учёные на конференциях по робототехнике, но у создателей Random Darknet Shopper другая цель. Они устроили художественную выставку, на которой представлены самые интересные покупки. Среди них — контрафактные кроссовки Nike, высококачественный скан венгерского паспорта, запрещённая к ношению кепка со скрытой видеокамерой, спрятанные в коробку для компакт-диска таблетки экстази, сигареты Chesterfield без акцизных марок, универсальные мастер-ключи пожарных, и прочие незаконные вещи (см фото внизу).
Запрограммированный на случайные покупки бот может еженедельно тратить биткоинов в эквиваленте $100. Он делает покупки в подпольном магазине, где представлено более 16 000 товаров. Среди них есть и легальные, и нелегальные, но бот никак не может понимать, что конкретно он покупает.
Художники посоветовались с юристами перед началом деятельности. Те объяснили, что создатели бота несут всю ответственность за его деятельность, в том числе за покупку наркотиков. Но конституция Швейцарии защищает их в этом конкретном случае, потому что они художники «произведение искусства» для общественной пользы.
Тем не менее, новая цифровая экономика может породить совершенно фантастические ситуации. Скажем, бот создан анонимными лицами, а доставка осуществляется на случайные адреса. Покупатели сбрасываются по несколько долларов, как в лотерею, и не знают, кому и какой товар будет доставлен. В этом случае кто будет нести ответственность?
Очевидно, что подпольные магазины в будущем никуда не исчезнут. Скорее наоборот — их станет ещё больше, так что эти юридические парадоксы нужно решать.
Кроме купленных товаров, на выставке установлен и ноутбук, с которого совершаются покупки (на последнем фото внизу). Экспозиция будет представлена в галерее The Kunst Halle Sankt Gallen (Цюрих, Швейцария) до 11 января 2015 года.
Интересно, что за всё время деятельности бота его ни разу не обманули. Разработчики говорят, что все 12 заказанных товаров были добросовестно доставлены. Только в одном случае продавец не смог выслать сумку, после чего вернул полученные биткоины.
Гибкие электронные сенсоры, напечатанные самом дешёвом материале — бумаге — имеют неплохой потенциал, чтобы существенно снизить в будущем стоимость различных медицинских инструментов, от медицинских роботов и до диагностических тестов.
Учёные разработали быстрый и дешёвый способ печати таких сенсоров путём прямого нанесения электропроводящего материала на бумагу. Научная работа с описанием метода опубликована в журнале ACS Applied Materials & Interfaces.
Бумага — практически идеальный материал для изготовления дешёвых диагностических тестов повсеместного использования. Это очень дешёвый носитель, доступysq практически в любом уголке земного шара. Бумага устойчива на скручивание и изгиб, очень мало весит.
Эксперименты с печатью электрических цепей на бумаге проводились и раньше, но группа учёных из Канады, США и Китая сейчас разработала более простой и практичный способ печати. Они использовали краску из серебряных нанопроводников.
Такая краска обладает исключительной электропроводностью и стабильностью. Во время испытаний были напрямую напечатаны на бумаге сенсоры, реагирующие на прикосновения пальца или присутствие определённых молекул, как глюкоза.
Печать микросхем на бумаге занимает всего несколько минут, после чего рисунок «закрепляют» фотовспышкой. Полученное устройство обладает высокой надёжностью: его можно мять и скручивать. В частности, микросхема выдерживает сгибание-разгибание около 15 раз и скручивание-раскручивание около 5000 раз.
Финансовый менеджмент обычно предполагает использование графиков и диаграмм, насыщенных информацией. Но и в эту сферу проникает виртуальная реальность. Один из американских инвестиционных фондов Fidelity Investments запустил проект Stock City, скриншоты которого напоминают скорее кадры из фантастических фильмов.
Виртуальный город Stock City состоит из небоскрёбов. Каждый из них представляет акцию той или иной компании. Изучать котировки инвесторы должны в шлеме виртуальной реальности Oculus Rift.
Архитектура города меняется в соответствии с движением фондового рынка. Высота домов — это стоимость акций, а ширина соответствует количеству акций в обращении.
Когда рынок открывается, в городе восходит солнце, а по окончании торгового дня наступает ночь. Погода тоже зависит от настроения рынка. Если котировки идут вверх, то солнце радостно сияет, а если рынок падает, то небо грустит дождём и хмурыми тучами.
В настоящее время в городе нельзя напрямую купить акции (да и сам шлем Oculus Rift ещё не появился в открытой продаже), но несложно представить будущее. Игрок (инвестор) ходит по городу, осматривает здания и принимает решения, куда зайти. Например, зашёл в лифт и поднялся на 20-й этаж — и система автоматически покупает 20 акций компании. Если хочется продать акции, то можно достать дробовик и прицелится в нужный этаж или снести взрывчаткой всё здание целиком.
Разработчики придумали много дополнительных деталей. Например, летающие над зданием птички — это упоминания в твитах. По обилию пернатых сразу понятно, какая фирма обсуждается в новостях. Другие сведения о компании можно узнать, заглядывая в окна.
Так или иначе, но подобными играми Fidelity Investments стремится привлечь к фондовой торговле молодое поколение геймеров.
Впрочем, попытка может оказаться тщетной. Другие уже безуспешно пытались реализовать такие проекты. Например, банк Wells Fargo Bank когда-то торговал акциями в виртуальной вселенной Second Life, но не слишком удачно.
